UserGate стала первой российской компанией, создавшей межсетевые экраны нового поколения (NGFW). Её работа в этой сфере началась полтора десятилетия назад. Сегодня организация занимает ведущие позиции на российском рынке в данном сегменте — в течение 2022–2023 годов было выполнено свыше 5000 внедрений. Продукты находят успешное применение в крупных государственных и коммерческих организациях как внутри страны, так и за её пределами.
Особое внимание разработчик уделяет глубокой локализации своей продукции. В основу межсетевых экранов заложена собственная операционная система UGOS и реализованы ключевые технологии, включая IPS, DPI и антивирусную защиту. Что касается упомянутого в обзоре устройства UserGate C150, стоит подчеркнуть, что его конструкция и схемотехнические решения разрабатывались силами специалистов компании, а сборка осуществляется на контрактном производстве в Ленинградской области. Для некоторых клиентов значимым преимуществом служит включение продукта в Реестр Минпромторга РФ и наличие сертификата ФСТЭК России.
Продуктовая линейка
В ассортименте NGFW-решений представлены устройства разного уровня производительности и аппаратной комплектации — от моделей для филиалов и интернета вещей до систем для центров обработки данных. Флагманские решения способны обрабатывать трафик со скоростью до 200 Гбит/с в режиме межсетевого экрана и до 30 Гбит/с при активированных функциях контроля приложений и предотвращения вторжений. Также предлагается версия в формате виртуальной машины для популярных платформ, что представляет интерес как для малого бизнеса, так и для развёртывания в облачных средах. Для обеспечения высокой доступности сервисов предусмотрена возможность объединения устройств в кластеры Active – Passive или Active – Active.
UserGate C150
Помимо базовых NGFW-функций, производитель предлагает специализированные модули для анализа логов UserGate Log Analyzer и централизованного администрирования группы устройств через UserGate Management Center. В продуктовой линейке также представлено клиентское ПО UserGate Client, которое обеспечивает защиту рабочих станций и безопасное подключение к корпоративной сети с поддержкой современных технологий: EDR, NAC и ZTNA.
Лицензирование
Для оборудования класса кибербезопасности регулярное обновление и актуальность баз угроз играют критически важную роль. Соответственно, данный сервис предоставляется по модели годовой подписки с несколькими тарифными вариантами, что помогает клиенту выбрать оптимальную конфигурацию под свои нужды. Базовая версия Security Update (SU) включает обновления прошивки, сигнатур систем обнаружения вторжений и приложений. Пакет Advanced Threat Protection (ATP) расширяет возможности за счёт категорийной фильтрации URL, работы с чёрными списками, обновления морфологических баз и веб-безопасности. Модуль Mail Security добавляет проверку почтового трафика на спам. Потоковый антивирус UserGate осуществляет сканирование трафика в реальном времени.
Для организации кластера из двух устройств потребуется приобрести соответствующий пакет. Функция сетевого контроля доступа на уровне межсетевого экрана необходима при использовании UserGate Client для управления конечными устройствами. Дополнительные подписки можно подключить в любой момент. Штрафные санкции за возобновление подписок не применяются. Стоимость обслуживания зависит от количества сетевых устройств, чей трафик проходит через межсетевой экран.
Активация лицензий и синхронизация списка модулей выполняются при регистрации устройства, для чего требуется доступ в интернет. В дальнейшем проверка статуса осуществляется ежедневно. Для изолированных сетей предусмотрена активация через прокси-сервер, а в новых версиях прошивки добавлена возможность офлайн-активации лицензий.
Сервис, поддержка, помощь при миграции
Поставки межсетевых экранов осуществляются по классической схеме: производитель → дистрибьютор → интегратор → конечный заказчик. Ценообразование строится на индивидуальном подходе, поэтому открытой информации о стоимости продуктов нет.
Помимо подписок на обновления, фирма предоставляет ряд вариантов технического сопровождения. Эти пакеты отличаются скоростью реагирования, перечнем предоставляемых сервисов и, разумеется, ценой. Также доступны единоразовые услуги, включая проектирование, внедрение, резервирование оборудования, обучающие курсы, поддержку при переходе с продуктов других вендоров, анализ защищённости клиентской сети, а также обновление и настройку оборудования сторонних производителей.
На портале технической поддержки в открытом доступе размещены материалы (инструкции по эксплуатации для различных моделей и по функциям и настройкам программного обеспечения), а также разделённые по темам ответы на популярные вопросы.
После регистрации клиенту открывается доступ в персональный раздел, где можно загружать обновления программ и общаться со службой поддержки разработчика. Стандартный метод обновления прошивки — онлайн с сохранением текущих настроек. При работе в кластерной конфигурации обеспечивается бесперебойное функционирование во время обновления программного обеспечения.
Комплект поставки
Тестируемая модель UserGate C150 поставляется в обычной картонной упаковке. Внутри устройство надёжно зафиксировано пенопластовыми вкладышами. Комплектация включает сам межсетевой экран, внешний блок питания с сетевым шнуром, один коммутационный кабель, шнур для подключения к консоли и информационный буклет с гарантийными условиями и ссылками на документацию. Перенаправление пользователя на веб-сайт для знакомства с информацией о продукте сегодня более целесообразно, чем включение печатных материалов, поскольку продукты непрерывно совершенствуются.
Блок питания от известного производителя Mean Well выдаёт 12 В при 5 А и оснащён несъёмным кабелем длиной 1 метр со стандартным круглым разъёмом. Для подключения к электросети используется разъём C14 для штатного кабеля с вилкой Shuko (при необходимости кабель можно заменить на C13-C14 для подсоединения к ИБП или PDU). Коммутационный кабель категории 5e имеет длину 1 метр. Консольный кабель такой же длины оборудован разъёмами USB Type-C и USB Type-A. И блок питания, и консольный кабель не являются эксклюзивными для данной модели, что считается преимуществом, так как в случае необходимости их можно легко заменить.
Внешний вид
Данный сетевой экран заключён в прочный металлический корпус серого оттенка, чей дизайн соответствует современным стандартам сетевых устройств. Поскольку внутри отсутствуют компоненты, требующие обслуживания пользователем, корпус герметично запаян. Высота устройства соответствует типовым параметрам стоечного оборудования. В базовой комплектации предусмотрена установка на резиновые опоры, добавляющие к высоте 7 мм. Дополнительно производитель предлагает специальные крепления для монтажа в серверную стойку формата 1U сразу двух таких экранов вместе с источниками питания.
| Параметры UserGate C150 | |
|---|---|
| Процессор | 8 ядер, Arm, 1,6 ГГц |
| Оперативная память | 16 Гбайт |
| Системный накопитель | SSD 128 Гбайт |
| Размеры | 205 × 185 × 55 мм |
| Вариант установки | настольный |
| Масса | 1,2 кг |
| Питание | два входа DC 12 В, до 36 Вт |
| Охлаждение | активное |
| Рабочие температуры | 0 °C – 40 °C |
| Сетевые интерфейсы | 8 × 1GbE |
| Консоль | USB Type-C |
| OOB-управление | выделенный порт 100 Mbps |
| Дополнительно | порт USB 3.0 Type A |
Ширина корпуса достигает 205 мм. Справа расположена вентиляционная решётка (производства Delta). Воздух для охлаждения поступает через перфорацию на левой боковой поверхности. Глубина устройства — 185 мм, к которой следует прибавить не менее 40 мм с тыльной стороны для подключения электропитания (при использовании штатного блока с прямым разъёмом) и аналогичное расстояние спереди для сетевых кабелей. Вес прибора составляет 1,2 кг.
Хотя устройство ориентировано на малый бизнес и филиалы, оно изначально поддерживает подключение двух блоков питания для обеспечения резервирования. Однако дополнительный блок питания потребуется приобрести отдельно. На задней панели присутствует винтовой терминал для заземления. На передней части слева размещена группа из восьми гигабитных портов для медных соединений с индикаторами скорости и активности. Рядом расположены порт USB 3.0 для внешних накопителей, выделенный 100-мегабитный порт для OOB-управления, консольный разъём USB Type-C и четыре многоцветных светодиодных индикатора.
Технические характеристики
Модель UserGate C150 базируется на аппаратной платформе с восьмиядерным ARM-процессором, функционирующим на частоте 1,6 ГГц, оснащена 16 ГБ оперативной памяти и твердотельным накопителем ёмкостью 128 ГБ для программного обеспечения. Устройство включает восемь гигабитных портов для передачи данных по медным кабелям и один выделенный порт для администрирования. Энергопотребление прибора не превышает 36 Вт, а рабочий температурный диапазон составляет от 0 до 40°C.
| Показатели производительности UserGate C150 | |
|---|---|
| Пропускная способность | |
| Для трафика Emix в режиме межсетевого экрана | 3,8 Гбит/с |
| Для UDP-трафика с размером пакета 1518 байт в режиме МЭ | 8 Гбит/с |
| Для профиля Emix в режиме МЭ с активированным распознаванием приложений уровня L7 | 2,8 Гбит/с |
| Для профиля Emix в режиме МЭ с включёнными функциями L7 и системой обнаружения вторжений | 400 Мбит/с |
| Фильтрация HTTP-трафика с размером транзакции 256 КБ | 800 Мбит/с |
| Анализ HTTPS-трафика при размере ответа 256 КБ, TLSv1.2 | 200 Мбит/с |
| Для профиля Emix при активации всех защитных механизмов | 120 Мбит/с |
| Максимальное число сеансов | |
| Сеансы TCP в режиме межсетевого экрана | 2 400 000 |
| Новых сеансов в секунду CPS в режиме МЭ | 19 000 |
| Новых сеансов в секунду CPS в режиме МЭ с активированными функциями L7 и СОВ | 2 400 |
Производитель советует применять UserGate C150 для обслуживания до 150 пользователей. Фактическая эффективность данного оборудования сильно варьируется в зависимости от применяемых методов анализа и контроля трафика, поэтому подбор подходящей конфигурации требует консультации со специалистами или проведения тестового внедрения. Существенно повысить производительность после установки невозможно — при её недостаточности придётся либо отключать определённые проверки (что не всегда приемлемо), либо переходить на более мощную модель. Программа обновления с зачётом стоимости заменяемого устройства и переносом лицензий не предусмотрена.
Функциональность встроенного программного обеспечения
Для первоначального подключения и конфигурации доступны три основных способа — можно задействовать консольный порт, эмулирующий классический последовательный интерфейс через USB, подключиться к специальному порту управления с поддержкой ssh либо воспользоваться port0 с веб-интерфейсом. Два первых консольных метода обычно применяются для задания IP-адресов перед переходом к третьему варианту доступа через браузер. Примечательно, что веб-интерфейс функционирует на нестандартном порту 8001 с использованием протокола https.
Первоначальные действия стандартны для подобной техники: выбираем язык интерфейса (доступны русский и английский), устанавливаем часовой пояс (что критично для служб, зависящих от времени), соглашаемся с лицензионными условиями, настраиваем пароль главного администратора. Следующим этапом потребуется обеспечить подключение устройства к интернету для прохождения процедуры регистрации.
Основной метод ручного управления оборудованием — веб-интерфейс в актуальном браузере. Для реализации специализированных задач может пригодиться наличие REST API для взаимодействия с устройством. К примеру, это позволяет создавать собственные решения для регистрации пользователей.
Состояние устройства отслеживается через две информационные панели. Первая отображает сетевые показатели: состояние портов, использование процессора и оперативной памяти, передачу данных через порты, активность DNS и HTTP запросов, а также статистику VPN-соединений. Вторая панель посвящена аспектам безопасности — данным о пользователях, приложениях, доменах, кибератаках и другим аналогичным сведениям. Расширенные средства наблюдения и анализа сосредоточены в соответствующем разделе, где доступны данные о текущих сеансах, таблицах маршрутизации и VPN-подключениях пользователей.
Диагностические возможности включают как стандартные утилиты ping, traceroute и DNS Lookup, так и продвинутые функции — анализ сетевых пакетов, контроль применения правил фильтрации трафика и проверку работы протокола LLDP.
В этом же разделе настраиваются параметры уведомлений (с поддержкой SMTP и SMPP) и конфигурация протокола SNMP.
Значительное внимание уделено ведению журналов работы устройства. Доступна настройка передачи событий на внешние системы через syslog, FTP или SSH. В параметрах пересылки указываются необходимые типы журналов, формат записей и график отправки.
Важной особенностью является автоматическое формирование отчетов. В каталоге шаблонов представлено свыше 100 готовых форм, включая отчеты по сетевому трафику, доменам, приложениям, пользовательской активности и зафиксированным атакам.
Интерфейс конфигурации устройства содержит более шестидесяти страниц параметров, поэтому при планировании обслуживания межсетевого экрана силами сотрудников организации рекомендуется провести их специальное обучение.
В начальной секции собраны базовые параметры: системное время, служебные домены, компоненты, обновления и прочее. Особого внимания заслуживает опция авторизации в веб-панели не только по паролю, но и с применением цифровых сертификатов. Администраторы могут проходить проверку подлинности через локальные учётные записи или внешние LDAP-системы. Дополнительно предусмотрено создание нескольких профилей (ролей) с дифференцированными уровнями доступа и полномочий.
Практическую ценность представляют интегрированные инструменты для сохранения резервных копий конфигураций на внешние серверы. Отдельная страница позволяет управлять сертификатами, которые применяются как для доступа к оборудованию, так и для функционирования SSL-инспекции.
Сетевые настройки включают популярные в этой категории функции: формирование дополнительных интерфейсов (VLAN, агрегация каналов, туннели VPN, виртуальные расширения VXLAN), их распределение по зонам безопасности и конфигурирование таблиц маршрутизации через шлюзы.
Реализованы серверные роли DHCP и DNS. Для продвинутых моделей актуальна опция развёртывания изолированных виртуальных маршрутизаторов.
Управление пользователями и группами поддерживает интеграцию с каталогами Active Directory, LDAP, RADIUS помимо локальных учётных записей. Доступны методы авторизации через портал перехвата и многофакторная аутентификация (TOTP, email-уведомления, SMS-коды).
Управление сетевым трафиком осуществляется с помощью двух категорий политик. Первая работает на уровне сетевых протоколов — здесь настраиваются стандартные правила для файрвола, маршрутизации (поддерживаются как статические маршруты, так и динамические протоколы RIP, OSPF, BGP и прочие), преобразования сетевых адресов, а также контроля пропускной способности каналов.
Также в этот же раздел интегрированы возможности распределения нагрузки для протоколов TCP/UDP и механизмы обратного прокси-сервера.
Политики защиты данных действуют на более высоких уровнях сетевого взаимодействия. Фильтрация содержимого ориентирована на работу с преобладающим веб-трафиком. В её настройках применяются категории веб-адресов из регулярно обновляемой базы, а также морфологический анализ контента.
Аналогично другим системам, для упрощения конфигурации сервисов и политик применяется объектная технология (в терминах разработчика — библиотечные элементы). Это распространяется на сетевые адреса, службы, профили, приложения, типы данных, временные расписания и другие компоненты. Некоторые из этих элементов могут быть предустановленными и автоматически обновляться от поставщика.
Функции веб-безопасности позволяют ограничить использо
